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Статическая проверка требований и подходы 
к решению проблемы достижимости 


Предложен метод статического анализа систем, представленных в формализме базовых протоколов. 
Построены алгоритмы проверки таких свойств систем, как непротиворечивость и полнота, а Также 
ВЫПОЛНИМОСТЬ условий целостности. Рассмотрена проблема выявления и достижимости состояний 
системы, в которых нарушаются заданные свойства. Предложены подходы к решению проблемы 
достижимости с помощью методов как статического анализа, так и проверки на модели. 


Разработка больших программных систем связана с большими трудозатратами как 
на проектирование, создание программного кода, так и на тестирование и исправление 
ошибок. При этом исправление ошибок на более поздних стадиях проекта обходится 
дороже, чем на ранних, таких, как сбор требований и проектирование, а стоимость 
ошибок, не обнаруженных во время тестирования, может возрасти многократно. 
Поэтому актуальной проблемой является верификация формальных спецификаций — 
доказательство свойств полноты, непротиворечивости, целостности и т.д. Логический 
подход к этой проблеме подразумевает разработку точной математической семантики 
для языка спецификаций, выбор логического языка представления свойств и выбор 
соответствующей методики доказательства. 

Существует два общеизвестных подхода к верификации — проверка на модели 
(по4е! сВеск1п?) и доказательство теорем (Шеотет ргоу!е) [1]. Проверка на модели 
применяется к моделям с конечным числом состояний и осуществляется как поиск в 
пространстве состояний. Основная проблема этого подхода лежит в построении и ана- 
лизе большого пространства состояний, рост которого вызван эффектом комбинатор- 
ного взрыва. Доказательство теорем представляет собой технику, в которой и система, и 
исследуемые свойства выражаются в виде формул в некоторой математической логике. 
Процесс проверки модели заключается в поиске доказательства выполнимости формул, 
построенных на основе заданных спецификаций. 

В данной работе рассматривается статический анализ систем, представленных в 
формализме базовых протоколов. Этот подход базируется на статической генерации 
утверждений в виде некоторых формул с последующими доказательствами их выполни- 
мости, и подразумевает отсутствие известных достижимых состояний системы. Алгоритмы 
и проблемы доказательства построенных формул оставлены за пределами публикации. 


Краткое описание языка базовых протоколов 


Базовыми протоколами формализуется набор правил, описывающих поведение 
анализируемой системы. Базовый протокол представляет собой выражение вида 
Ух(а >< р> В), где х — список (типизированных) параметров, @ и В — формулы базо- 
вого логического языка, р — процесс протокола (конечное поведение композиции 
нескольких агентов и среды, обычно задается с помощью М$С диаграмм). Фор- 
мула а называется предусловием, а формула В — постусловием базового протокола. Сам 
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базовый протокол может рассматриваться как формула темпоральной логики, выражаю- 
щая тот факт, что, если состояние системы имеет разметку, удовлетворяющую условию 
@ , то процесс р может быть инициирован, и после его завершения состояние системы 
будет удовлетворять условию В. В качестве базового языка используется бесквантор- 


НЫЙ ЯЗЫК многосортного исчисления предикатов. 


Базовые протоколы и транзиционные системы 


Для статического анализа свойств будем рассматривать размеченную транзи- 
ционную систему. Это тройка вида: 
<5,А,Т>, 
где 5 — множество состояний транзиционной системы, А — множество меток, Г— множест- 
во переходови То 5хАхф. Если 5,5' Е 5, аЕе А, тогда (5,а,5’) ЕТ записывается как: 
— У. 
Путь в размеченной транзиционной системе — это последовательность перехо- 
дов [,Г,,..1,.... Где каждый переход {, имеющий метку а,, переводит систему из 


состояния 5, в состояние 5, (5, — начальное состояние). 


а 4 а 


и 55 ›...— >... 


Трасса в транзиционной системе — это последовательность меток а,,а,,...а,,... 


отвечающих истории [1 ,Ё,....1,.... 


Рассмотрим систему базовых протоколов как объект статического анализа. Она 
является спецификацией размеченной транзиционной системы, в которой базовые 
протоколы играют роль переходов, а их имена -— роль меток. В системе базовых 
протоколов известны только начальные состояния специфицируемой транзиционной 
системы. Для построения остальных состояний на каждом состоянии из 5 сущест- 
вует частичное преобразование и:5 5. 

Вводя некоторые абстракции, вместо конкретных состояний можно опери- 
ровать множествами состояний, задаваемыми формулами базового языка. Предусло- 
вием (© базового протокола задается множество состояний, из которых возможен 
переход, размеченный именем данного протокола. В этих состояниях базовый 
протокол называется применимым. Процесс р базового протокола рассматривается 
как единое целое и не несет функциональной нагрузки. Функцию преобразования 
одного множества состояний в другое под действием заданного постусловия назовем 
предикатным трансформером: 

Л’ = РКХ, В). 
Здесь /, Г’ - формулы базового языка, задающие состояния системы до и после при- 
менения базового протокола, В — постусловие базового протокола. 


Непротиворечивость 


Дадим определение недетерминизма. Недетерминированным называется такое 
состояние 5 размеченной транзиционной системы, из которого допустим более чем 
один переход. При моделировании реактивных систем возникает требование про- 
верки детерминированности поведения. Как правило, моделируемая система должна 
детерминировано реагировать на внешние раздражители. 

Дадим определение непротиворечивости для систем базовых протоколов. 
Назовем два базовых протокола непротиворечивыми, если не существует состояния, 
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на котором одновременно применимы оба протокола. Это определяется отсутствием 
пересечений предусловий базовых протоколов: 


У(1, 1) (12 1 ла, ЕАла, ЕА -> —Зха, (х) л Зуа ‚(у)) ), 
где а,(х), а,(у) — предусловия базовых протоколов а; и а;, параметризированных 


списками хиу. 

Утверждение. Непротиворечивая система имеет детерминированное поведе- 
ние. Действительно, если никакие предусловия не пересекаются, то есть все базовые 
протоколы непротиворечивы, то в каждом состоянии существует не более одного 
применимого базового протокола. 


Полнота 


Помимо детерминизма, критическим требованием к моделируемой системе 
является отсутствие тупиков. 

Дадим определение полноты для систем базовых протоколов. В полной системе 
должно выполняться следующее условие: дизъюнкция предусловий базовых прото- 
колов приводится к истине: 

ае Ала, Е АЛ... -> Зх а (х,) м Ях,а,(х.) м... 


где @,(х,) — предусловие базового протокола а, параметризированного списком х.. 


В некоторых реализациях пользователю предоставляется возможность сформу- 
лировать ограничения во избежание ложных отрицательных результатов (№5е 
пегайуе5). Полнота с учетом пользовательских ограничений определяется так: 

ае Ала, Е Ал... > В м ха (х,) м Эха, (х,)м..., 
где К — формула базового языка, задающая пользовательские ограничения. 

Утверждение. В полной системе нет тупиков. Действительно, если выполняется 

условие полноты, то в каждом состоянии найдется хотя бы один применимый протокол. 


Проверка условий целостности 


Кроме полноты и непротиворечивости существует ряд других свойств, обуслов- 
ленных требованиями к живучести (Пуепез$), надежности, производительности и т.д. 
моделируемой системы. Такие свойства формулируются для каждой системы индиви- 
дуально и представляются в формализме конкретной модели. 

Дадим определение условия целостности. Рассмотрим свойство, которое можно 
записать в виде формулы базового языка. Оно называется условием целостности, 
если соответствующая формула истинна на всех состояниях системы. 

Пусть О - условие целостности (формула базового языка). Алгоритм проверки 
поставленного требования «истинности везде» для каждого условия целостности 
разобъем на три этапа: 

Этап 1. Необходимо проверить начальное состояние: 


5, О, 
где 5, — формула базового языка, задающая начальные состояния системы. 


Этап 2. Проверим, что не существует базового протокола, который не применим 
ни в одном состоянии, удовлетворяющем условию целостности 0. То есть предусло- 
вия всех базовых протоколов пересекаются с О: 


1 (а = А Эха, (х)^О). 
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Иначе можно сделать два вывода: 

— если условие целостности корректно, то, по определению, оно должно выполнять- 
ся на всех состояниях системы, следовательно, неприменимый на этих состояниях 
базовый протокол будет недостижим, или 

— условие целостности некорректно и должно быть уточнено. 

Этап 3. Условие целостности должно быть инвариантно относительно всех 
базовых протоколов: 

УР (а) Е А Ух(рКа, (х) ^ 0, В, (х)) > 0)). 

Другими словами, если условие целостности выполнялось до применения базо- 
вого протокола, то оно должно выполняться и после. Для построения формулы, 
задающей состояния системы после применения базового протокола, используется 
предикатный трансформер [2], [3]. 


Анализ результатов статической проверки 


Нарушение описанных свойств доказывает существование состояний, в кото- 
рых система имеет недетерминированное поведение, тупики или нарушаются усло- 
вия целостности. Назовем такие состояния критическими. В отличие от проверки на 
модели, описанные методы статического анализа дают полное множество критичес- 
ких состояний, но ничего не говорят об их достижимости. Для проверки достижи- 
мости, в первую очередь необходимо построить такие состояния. 

Пусть протоколы а; и а; противоречивы. По определению, выполняется сле- 
дующая формула: 

а, Е Ала, Е Ал5ха, (х) л Зуа ‚(у). 

Она определяет критические состояния, в которых система имеет недетермини- 
рованное поведение. 

Пусть система базовых протоколов неполна с учетом ограничения К. По опре- 
делению, выполняется следующая формула: 

а Ее Ала, Е Ал... л —(В м 3х а (х) м Эха. (х,)м...). 

Она определяет критические состояния, являющиеся тупиковыми. 

Пусть протокол а; нарушает условие целостности О. По определению, существует 
некоторое выражение базового языка Х такое, что выполняется следующая формула: 

а, Е Ал3х(а, (ху ^лОл Хл РКХ, В, (х)) > О)). 

Х определяет критические состояния, в которых нарушается условие целостности (9. 
Детали построения выражения Х здесь не рассматриваются, иначе возникла бы необхо- 
димость приводить алгоритмы предикатных трансформеров [2], [3]. 


Подходы к решению проблемы ДОСТИЖИмМоСсТиИ 


Пусть С — множество критических состояний. 

Один из подходов заключается во введении некоторой статической фильтрации. 
Разобьем множество С на подмножества и/или конкретные состояния произвольным 
удобным образом. Например, подмножества критических состояний, построенные для 
каждого найденного нарушения описанных выше свойств, можно рассматривать как 
удобное разбиение. Каждое подмножество из разбиения задается формулой базового 
языка, обозначим ее как с;. 

Рассмотрим отрицание формулы с; как условие целостности: —с,. Если система 


базовых протоколов не нарушает это условие целостности, то состояния, заданные 
формулой с‚, недостижимы и могут быть отфильтрованы. 
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С помощью такого подхода можно сделать вывод о недостижимости неко- 
торых критических состояний. Для остальных же (не отфильтрованных) проблема 
достижимости остается актуальной. 

Другой предлагаемый подход основан на использовании методов проверки на 
модели (то4е] сцескт?). Как упоминалось выше, с помощью этих методов можно 
доказать достижимость заданных состояний, однако их возможности ограничены из- 
за наличия проблемы комбинаторного взрыва. 

Детальнее рассмотрим анализируемую систему базовых протоколов. Специфи- 
кация систем базовых протоколов подробно описана в [4]. Кратко, система состоит из 
среды и взаимодействующих между собой и с внешним миром агентов. Среда и агенты 
имеют атрибуты, значениями которых характеризуется состояние системы. У каждого 
агента существует специальный атрибут 5ие символьного типа. Базовые протоколы 
описывают поведение агентов и определяются следующими правилами: 

— пред- и постусловие любого базового протокола содержит выражение, задающее 
значение атрибута 5е одного и только одного агента, такой агент называется ключевым; 
— имя ключевого агента может быть параметризировано; 

— так же пред- и постусловие могут содержать формулы базового языка над атрибутами 
среды и любых агентов. 

Построим абстракцию анализируемой системы путем элиминации подмножества 
атрибутов и упрощения пред- и постусловий базовых протоколов. Выберем подмно- 
жество, содержащее только специальные атрибуты 5&\е каждого агента, так как они 
обладают следующими свойствами в любой системе базовых протоколов: 

— присутствуют в предусловии каждого протокола; 
— всегда имеют конкретное значение; 
— не присутствуют в выражениях с другими атрибутами. 
Каждый абстрактный базовый протокол задает изменение атрибута 5ие одного 
агента (другие атрибуты отсутствуют). Таким образом для каждого агента 2 можно 
построить такой ориентированный граф переходов, что: 
— вершины графа 1 определяют значения атрибута зе: уает = и, 1= 1,...п, где п — кол- 
во внутренних состояний агента; 
— ребра графа а] определяют имена соответствующих базовых протоколов, ] = 1,...1, где 
т - кол-во базовых протоколов, у которых агент 7 является ключевым. 

Приведенная диаграмма иллюстрирует пример графа переходов агента абстракт- 


ной системы. 


гед1 


поспапде1 1суфе1 1субе 


2субе 


тигр’ 2сус!е1 


ГпРгосе5$ 
поспапде? 


Здесь ше, Асйуе, Кедиеяе4!, Кедиеяе42, Етрёу, тРгосезх — внутренние состояния 
данного агента; ми три’, гед[, посйапзе!], гед2, посйапее2, тр’ етрёу, геаду, 1суче1, 
2сусе1, 1суче, 2суфе — базовые протоколы. 
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Рассмотрим критическое состояние с и найдем такие вершины иь что: 
(514е, =и) ^лс=®. 
Построим все пути из вершины, характеризующей начальное состояние агента 
в найденные вершины. Такое множество путей можно использовать для проверки 
достижимости критического состояния с с помощью направленного поиска в про- 
верке на модели [5]. 


Выводы 


В данной работе приведены методы статического анализа систем, представленных в 
формализме базовых протоколов. Построены алгоритмы проверки таких свойств систем, 
как непротиворечивость и полнота, а также выполнимость условий целостности. Рас- 
смотрена проблема выявления и достижимости состояний системы, в которых нару- 
шаются заданные свойства. Предложены подходы к решению проблемы достижимости с 
помощью методов как статического анализа, так и проверки на модели. 
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5.7. Риуепко 

Зайе Вецшгетеп$ СвесКшрф апд Арргоаспве$ 0 Веасваб у РгоШет 

А те®о4 оЁ айс апа]уз1$ 1$ засрезе4 Юг Ше зузветл$ гергезете4 ш а Ююпит оЁФазс ргоюсо[5. А]1еогИт$ 
оё сцесКше ргорегйез оЁ фе зубет аге Би! Юг сопз15епсу ап сотр|еепезз, зайзНаб у оЁ заРеу 
соп И оп$. Тре ргоет оЁ зеагсЬ ап4 геасбабИиИу оЁ а {ез оЁ е зузет уеге г1уеп ргорегйез БгоКеп 1$ 
сопз14еге4. АрргоасБез 1ю геасвабИиу рго Мет зо[аНоп аге заосехе4 изше аз 5@айИс апа|уз515 аз шо4е| 
свескше тефод$. 
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